Protection des Données Personnelles

Slides:



Advertisements
Présentations similaires
Université d’automne du ME-F
Advertisements

Panorama réglementaire Textes internationaux
Université Paris IV Sorbonne Langues étrangères appliquées DROIT DES AFFAIRES Semestre 2.
Présenté à Par. 2 3Termes et définitions 3.7 compétence aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats.
PLACE DE LA CONVENTION DANS LE DISPOSITIF REGLEMENTAIRE
Présentation du CCBE Georges-Albert Dal Président Av. de la Joyeuse Entrée Bruxelles
E-Justice, Droit et Justice en réseaux dans l’ Union Européenne
I expo, Paris juin 2007 LA RÉUTILISATION DES DONNÉES PUBLIQUES EN EUROPE ET EN FRANCE LES LICENCES TYPES Pourquoi ? Comment ? Et après ? Bernard.
Manuel Qualité, Structure et Contenus – optionnel
Les nouvelles voies d’accès à l’expertise comptable
Principes de base de la négociation collective
Appliquer la convention (n°144) sur les consultations tripartites C. Phouangsavath - BIT Turin - Juillet 2007.
1 ROLE ET PERSPECTIVES DEVOLUTION DE LA MUTUALITE MAROCAINE A LHEURE DE LASSURANCE MALADIE Le 26 mars 2007.
30 ÈME ANNIVERSAIRE DE LA CONVENTION 108 DU CONSEIL DE LEUROPE POUR LA PROTECTION DES PERSONNES À LÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL.
Lefficacité de la justice: quelles mesures, quels rôles pour les huissiers de justice ? Muriel Décot Conseil de lEurope.
LE CONTRAT CADRE DE SERVICE
8ème thème : Le transfert à létranger de données à caractère personnel.
La politique de Sécurité
Protéger la personne et la vie privée
Année 1 : Etat des lieux / Analyse contextuelle
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Art. 60 et législation relative au bien-être Groupe de travail activation 7 juillet 2012.
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
Les coopérations entre professionnels de santé
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
Programme NOU-R de lutte contre la corruption. Piliers de lutte contre la gouvernance Pilier 1 - Élaborer une organisation efficace et transparente du.
Gestion des risques Contrôle Interne
0 NOUVEAUTÉS LES PREMIERS SCEAUX FRANÇAIS DÉLIVRÉS PAR WEBTRUST FRANCE.
Politique de la Confédération dans le domaine de la formation continue Mise en place de lart. 64a Cst. « Etats généraux de la formation continue »,
Les avantages du système EMAS
Guide de gestion environnementale dans l’entreprise industrielle
Cadre de référence pour la prévention des usages dalcool et de drogues en milieu professionnel adopté le 15 mai 2012 à lissue de la conférence internationale.
Sirius Legal De Scheemaecker Bogaerts Van den Brande La nouvelle loi sur les cookies et l'OBA : que faire pour respecter les nouvelles règles du jeu? DMF,
La directive européenne Séminaire UPU - Alger décembre 2012.
Association des Paralysés de France – Janvier 2007 Agenda 22 De la théorie à la pratique.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
29e CONFÉRENCE INTERNATIONALE DES COMMISSAIRES À LA PROTECTION DES DONNÉES ET DE LA VIE PRIVÉE 29 th INTERNATIONAL CONFERENCE OF DATA PROTECTION AND PRIVACY.
Protection de la vie privée
Page 1 / Titre / Auteur / Date / Confidentiel D? LA DEMARCHE COLLEGES METIER.
Processus d’éthique des affaires
Conférence Vanham & Vanham 8 mai 2003 Les nouvelles obligations en matière de publicité et de marketing réalisés par le biais des nouvelles technologies.
ORGANISATION DES ADMINISTRATIONS ET DE L’ÉTAT FRANÇAIS
LA VÉRIFICATION DES ANTÉCÉDENTS JUDICIAIRES
Présentation de M e Christiane Larouche Service juridique, FMOQ 28 mai 2014.
Pr. François-André ALLAERT Médecin de santé publique et juriste
Page 1 Présentation à la Commission des finances du Grand Conseil - 14 mai 2014 Préposé cantonal à la protection des données et à la transparence.
1Conférence de presse 12 décembre 2002 Commission Nationale pour la Protection des Données Conférence de Presse Esch-sur-Alzette 12 décembre 2002.
Rapprochement des référentiels d’économie droit BTS Assistant de Gestion PME-PMI BAC PRO « Gestion-Administration »
P. 1 Réunion des administrateurs l 03/05/2012 Déclaration des traitements comportant des données personnelles.
Van De Sande J.M. SPF Economie – DG Potentiel économique directive «services»
ISO 9001:2000 MESURE, ANALYSE et AMELIORATION Interprétation
Diffusion de la « culture Informatique et Libertés » par le C2i
RSZ-ONSS Journée d’étude Dimona - DMFA 7/01/ L’E-government dans la sécurité sociale M. Allard, Directeur général à l’ONSS.
Séquence 1 : Environnement du commissariat aux comptes
Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels Me Isabelle Chvatal 25 septembre 2014 Réseau REPCAR.
Journée « Ma démarche FSE » Salle Laroque 16 avril 2015
1 CEL 6001 : Introduction au commerce électronique Cours 6 - « Passport » de Microsoft et le droit à la vie privée Lundi 21 octobre h – 12h (Pratte,
8eme Conférence de l’AFAPDP Jeudi 25 juin à Bruxelles (Belgique)
Sophie Kwasny 16 June 2011 Forum Africain sur la Protection des Données Personnelles Dakar – 18 au 20 mai 2015 Les normes de protection des données à caractère.
relative aux peuples indigènes et tribaux
Me Jean Chartier – Président de la CAI au Québec et de l’AFAPDP Enjeux de la régulation : comment assurer une protection efficace des renseignements personnels.
Gouvernance des données. Renseignement Confidentiel Renseignement Personnel Obligations Sécurité Valorisation.
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
PROCESSUS D’AUDIT PLANIFICATION DES AUDITS
SERVICE PREVENTION ET SECURITE JOURNEE D’ACCUEIL EN DELEGATION
Quel dispositif institutionnel de mise en œuvre de APA au Burkina Faso
Informatique et Libertés individuelles. 2 La CNIL La loi en vigueur Nous sommes surveillés ?
Les aspects juridiques de l'externalisation des données et services ARAMIS 2012 « Virtualisation et Bases de données » Yann Bergheaud – Lyon3.
Cours du 18/11/2015. LA PROTECTION DES DONNEES A CARACTERE PERSONNEL Loi du 8 décembre 1992, modifiée en 1998 et ensuite par l’AR du 13 février 2001 Finalité.
Les outils de la lutte contre la corruption dans le secteur public
Transcription de la présentation:

Protection des Données Personnelles # Etablir une bonne gouvernance au sein de l’entreprise Enjeux et Avantages Protection des données: établir une bonne gouvernance au sein de l’entreprise

Avantages d’une bonne gouvernance en la matière « It’s all about TRUST » La confiance de la part des clients, utilisateurs et tiers impliqués des fournisseurs et partenaires, des salariés et collaborateurs, du régulateur et des pouvoirs publics, de l’opinion publique. Elle se gagne pas à pas, péniblement, se consolide et se mérite tous les jours, mais un seul jour suffit , une seule faille de sécurité, une indélicatesse, un abus, pour la perdre: ex. Playstation Network, Google Wifi « Accountability = organised compliance, transparency and fairness, lawfulness and security in data processing » Cette naturellement les acteurs de certains secteurs d’activité que le souci d’une image de marque fondée sur la confiance a d’abord conduit à investir dans la protection des données: e-commercce, IT et services sur Internet, Santé, Finance … Protection des données: établir une bonne gouvernance au sein de l’entreprise

Identification des traitements de données personnelles effectués dans l’entreprise Faire l’inventaire des processus et des fichiers utilisés au sein de l’entreprise et comprenant des données à caractère personnel Identifier et déterminer précisément les finalités des traitements (art. 4) Vérifier la légitimité (identifier le critère légal « porte d’ouverture ») (art. 5) La nécessité: les données collectées doivent être indispensables pour les finalités définies (« Datensparsamkeit ») (article 4) Principe de proportionnalité (article 4): catégories de données (ne doivent pas être excessives), opérations de traitement, destinataires, durée de conservation Protection des données: établir une bonne gouvernance au sein de l’entreprise

Les formalités de déclaration préalable des traitements Formalités à accomplir dépendent de la finalité et des catégories de données traitées cf. http://www.cnpd.public.lu/fr/declarer/index.html Exemptions (article 13 § 3) Traitements « anodins » les plus courants (p.ex. calcul des salaires, gestion des contacts) Notification préalable (articles 12 et 13) Formulaire standard Constitue la règle pour les traitements non exemptés Applicable même aux données de santé (sauf données génétiques, ou utilisation secondaire) Surveillance de personnes tierces sans enregistrement Notification unique (article 12 § 1 lettre (b)) Procédure simplifiée pour traitements standardisés (p.ex. élections sociales) Délibération de la CNPD décrivant le traitement (conditions et restrictions) Formulaire spécifique : engagement formel de conformité N.B. Il existe une formalité similaire d’autorisation simplifiée: p.ex contrôle d’accès et des horaires de travail par badges) Autorisation préalable (article 14) Traitements à caractère plus « intrusif » (p.ex. surveillance, données génétiques, biométrie, utilisation secondaire pour recherche scientifique) Demande sous forme de lettre libre (sauf pour la vidéosurveillance  formulaire spécifique) Protection des données: établir une bonne gouvernance au sein de l’entreprise

La mise en pratique de principe de l’«accountability»: (organiser sa responsabilité) Article 4 de la loi énonce que le responsable doit s’assurer que les données qu’il traite le sont loyalement et licitement et respectent notamment les: a) principe de finalité; b) principe de proportionnalité et de nécessité c) principe d’exactitude, mise à jour; d) durée limité de conservation, sinon anonymisation Mettre en place des structures et procédures efficaces pour assurer la conformité avec la protection des données et la prise en charge des problèmes Elaboration d’une politique de protection des données écrite (charte) et contraignante (p.ex. pour la création de nouveaux fichiers) Mappage/supervision des procédures Mise en place d’un système de gestion des plaintes de personnes concernées Guidance pour les collaborateurs Diffusion de guides d’utilisation / codes de bonnes pratiques Organisation de formations Transparences quant aux procédures internes / gestion des plaintes Publication de rapports annuels d’incidents et améliorations Protection des données: établir une bonne gouvernance au sein de l’entreprise

Identification des enjeux en fonction de l’activité de l’entreprise Vérifier les mesures de sécurité requises en fonction du risque d’atteinte à la vie privée (« sensibilité » des données), de l’état de l’art et des coûts liés à leur mise en œuvre (article 23) Mesures au niveau technique et de l’organisation mise en place Gestion scrupuleuse et « granulaire » des droits accès aux systèmes (restriction au minimum nécessaire selon les fonctions et compétences des employés) Traitement des données (pour compte du responsable) par un sous-traitant - Choix d’un sous-traitant apportant des garanties suffisantes - Obligation de conclure un contrat avec le sous-traitant précisant que le sous traitant ne peut agir que sur la seule instruction du responsable du traitement les obligations relative à la sécurité des traitements incombent également à ce dernier Garantir le respect des droits des personnes concernées (phase I) Information de la personne concernée (articles 26 et 27) Identité du responsable du traitement Finalité(s) déterminées du traitement Destinataire(s) au(x)quel(s) sont communiqués les données Autres informations contribuant à la transparence vis-à-vis de la personne concernée Protection des données: établir une bonne gouvernance au sein de l’entreprise

Politique d’information des personnes concernées Assurer une transparence loyale envers les personnes concernées Fournir des informations aux personnes concernées par des moyens appropriés En facilitant l’accès aux renseignements: Notice d’information dans un formulaire de collecte de données intranet (employés) internet (clients, fournisseurs,…) Présentation des informations au moment propice par rapport à la collecte de données Utilisation d’un langage et une présentation faciles à comprendre Information de la personne en fonction de la « sensibilité » des données Multiplier les niveaux et supports d’information pour la personne concernée / format multistrates (concept de la « multi-layered information ») Avis succinct (« short notice ») Avis condensé (« condensed notice ») Information compléte (« full notice ») p.ex. notice concernant la vie privée (« privacy notice ») décrivant les conditions juridiques et modalités pratiques exactes à l’intention des personnes souhaitant s’informer plus exhaustivement Protection des données: établir une bonne gouvernance au sein de l’entreprise

Une équipe dédiée en matière de protection des données Création d’une instance spéciale « privacy officer » ou « privacy team » au sein de l’entreprise: (p.ex le compliance officer, un juriste/informaticien spécialisé Consultation de cette personne/équipe lors de la mise en place d’une nouvelle procédure ou de la création d’un nouveau fichier Lui demander le cas échéant une évaluation de l’impact sur la vie privée droits des personnes concernées (« privacy impact assessment ») en fonction de la « sensibilité », des données traitées, de la divulgation qu’elle engendre potentiellement et de l’ampleur du cercle des personnes accédant aux données Lui confier un rôle de contrôle interne, d’alerte et de conseil en la matière D’organiser périodiquement un audit externe débouchant sur un plan d’action Protection des données: établir une bonne gouvernance au sein de l’entreprise

L’instance : le chargé de la protection des données (I) Fonction facultative prévue à l’article 40 de la loi Règlement grand-ducal d’exécution du 27 novembre 2004 Responsable du traitement exempté du devoir de notification Niveau de formation universitaire requis (droit, économie, … ou profession réglementée) Procédure à suivre Demande d’agrément préalable à présenter à la CNPD Décision d’inscription sur la liste des chargés par la CNPD Désignation du chargé de la protection des données par l’entreprise Vérification de son indépendance par la CNPD (éviter conflits d’intérêts, p.ex. RSSI) Statut du chargé au sein de l’entreprise « Correspondant » de la CNPD » en parallèle à sa fonction habituelle dans l’entreprise Jouit d’une certaine indépendance vis-à-vis du responsable du traitement qui le désigne Doit disposer d’un temps approprié pour s’acquitter de ses missions Révocabilité Protection des données: établir une bonne gouvernance au sein de l’entreprise

Le chargé de la protection des données (II) Missions pouvoirs et obligations du chargé de la protection des données définies à l’article 40 de la loi et dans le RGD du 27 novembre 2004 Etablir et tenir à jour un registre des traitements de données à caractère personnel mis en œuvre au sein de l’entreprise / communication à la CNPD tous les 4 mois Contrôle de l’application des dispositions légales réglementaires applicables aux traitements opérés par l’entreprise Pouvoir d’investigation auprès le responsable du traitement / droit à l’information Fonction de médiateur: traitement des plaintes des personnes concernées Conseiller avec rôle d’alerte et de recommandation: Information du responsable du traitement sur les formalités à accomplir afin de se conformer aux dispositions légales en la matière Interface entre la CNPD et le responsable du traitement: consultation de la CNPD en cas de doute quant à la conformité d’un traitement avec la loi Suivre une formation continue régulière (perfection et mise à jour des connaissances) Protection des données: établir une bonne gouvernance au sein de l’entreprise

Sécurité technique et organisationnelle (article 23) Mise en place de mesures adéquates compte tenu des risques à prévenir Précautions de base/ choix de l’architecture (« Privacy by designe », protections spécifiques « sur mesure » selon les circonstances, l’ampleur des opérations du traitement et la « sensibilité » des données Gestion scrupuleuse et « granulaire » des accès aux systèmes (restriction au minimum nécessaire selon les fonctions et attributions des collaborateurs) Encouragement des notifications de violations de la protection des données (« notification of data security breach ») aux autorités compétentes Directive 2009/136/CE: obligation pour le secteur des communications électroniques Révision de la Directive 95/46/CE: étendre cette obligation à d’autres secteurs Protection des données: établir une bonne gouvernance au sein de l’entreprise

Flux internationaux de données : Art. 18 et 19 Niveau de protection adéquat « Sphère de sécurité »: directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données transposée en droit national dans les 27 pays de l’Union européenne Pays de l’Espace Economique Européen (EEE) : Islande, Liechtenstein, Norvège) Pays (tiers) dont le niveau de protection adéquat a été reconnu par la Commission européenne: Suisse, Argentine, Canada, îles de la Manche, Etats-Unis d’Amérique (sociétés « safe harbor ») Autres pays: Interdiction de transfert vers des pays tiers n’offrant pas un niveau de protection adéquat Protection des données: établir une bonne gouvernance au sein de l’entreprise

Transferts de données à caractère personnel vers des pays tiers n’offrant pas un niveau de protection adéquat Dérogations prévues à l’article 19 § 1 de la loi du 2 août 2002 consentement de la personne concernée contrat conclu avec ou dans l’intérêt de la personne concernée intérêt public important … Autorisation par la CNPD sur base de l’article 19 § 3 de la loi demande dûment motivée garanties suffisantes au regard de la protection de la vie privée, des libertés et droits fondamentaux des personnes concernées ainsi qu’à l’exercice des droits correspondants (information, accès, rectification, opposition) Protection des données: établir une bonne gouvernance au sein de l’entreprise

Garanties appropriées Clauses contractuelles appropriées, telles que les clauses contractuelles types élaborées par la Commission européenne (téléchargeables à partir du site Internet http://ec.europa.eu/justice/policies/privacy/modelcontracts/index_en.htm) Identifier le rôle du destinataire (importateur) des données selon les finalités du transfert Responsable du traitement réalisant ses propres finalités Sous-traitant n’agissant que sur instruction du responsable du traitement Modèle de contrat à conclure entre l’exportateur et l’importateur des données: décision 2001/497/CE du 15 juin 2001 (vers un responsable du traitement) ou décision 2004/915/CE du 27 décembre 2004 (vers responsable,set alternatif) ou Décision 2010/87/EU du 5 février 2010 (vers un sous-traitant)  sous-traitance « en cascade » désormais possible, ce qui n’était pas le cas pour les clauses du 27 décembre 2001 (décision 2002/16/CE abrogée) (N.B.: ne pas confondre avec le contrat de sous-traitance prévu à l’article 22 de la loi !) Autres mode d’établissement de garanties appropriées règles contraignantes d’entreprises / « binding corporate rules » (BCRs) … Protection des données: établir une bonne gouvernance au sein de l’entreprise

Garanties appropriées (II): Binding corporate rules Caractéristiques et avantages Charte reprenant les principes de la protection des données contraignante et applicable à toutes les filiales d’un groupe international d’entreprises Solution intéressante à des groupes d’entreprises disposant de filiales dans le monde entier et confrontés à des flux de données réguliers Système plus flexible et plus adapté à la culture d’entreprise que les clauses contractuelles types Evite de devoir recourir à d’innombrables contrats à passer pour chaque type de flux de données Procédure d’approbation définie: coopération des autorités nationales de la protection des données européennes concernées Site internet du Groupe Article 29 dédié aux règles contraignantes d’entreprises http://ec.europa.eu/justice/policies/privacy/binding_rules/index_en.htm Documents de travail (« working papers ») élaborés par le Groupe Article 29 (WP 74, WP107, WP108, WP153, WP154, WP155) disponibles sous http://ec.europa.eu/justice/policies/privacy/binding_rules/tools_en.htm Protection des données: établir une bonne gouvernance au sein de l’entreprise

Structure des règles contraignantes d’entreprise WP154) Champ d’application; --Définitions Limitation des finalités Qualité des données et proportionnalité Condition(s) de légitimité Traitements de données « sensibles » Transparence et droit à l’information Droits d’accès, de rectification, d’effacement et de verrouillage des données Décisions individuelles automatisées Sécurité et confidentialité Relations avec les sous-traitants Restrictions relatives aux transferts ultérieurs (« onward transfers) » Programme de formation Programme d’audit Respect des règles et contrôle de leur application Relation entre les différentes législations et les BCRs Système interne de la gestion des plaintes (« complaint handling process ») Droits de tiers bénéficiaires (« third party beneficiary rights ») Responsabilité (« liability ») Entraide et coopération avec les autorités de protection des données Mise à jour des BCRs Protection des données: établir une bonne gouvernance au sein de l’entreprise

Vos questions ? Questions & réponses Protection des données: établir une bonne gouvernance au sein de l’entreprise

Commission Nationale pour la Protection des Données MM. Gérard LOMMEL (président) Thierry LALLEMANG & Pierre WEIMERSKIRCH (membres effectifs) Mme Josiane Pauly et MM. Marc Hemmerling et Tom Wirion (membres suppléants) Adresse postale: L-4100 Esch-sur-Alzette Bureaux : 41, avenue de la Gare L-1611 Luxembourg Tél.: 26 10 60 - 1 Fax.: 26 10 60 - 29 E-Mail: info@cnpd.lu www.cnpd.lu Protection des données: établir une bonne gouvernance au sein de l’entreprise

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.